如何編譯殺毒軟體

① 殺毒軟體的掃描程序是怎麼做出來的

一、殺毒軟體原理基礎

一個殺毒軟體的構造的復雜程度要遠遠高於木馬或病毒，

所以其原理也比較復雜。

而且鑒於

現在木馬病毒越來越向系統底層發展，

殺毒軟體的編譯技術也在不斷向系統底層靠近。

例如

現在的「主動防禦」技術，就是應用

RING0

層的編譯技巧。這里我簡單為大家介紹一下基

本構成。

一個殺毒軟體一般由掃描器、

病毒庫與虛擬機組成，

並由主程序將他們結為一體，

如圖

1

。

掃描器是殺毒軟體的核心，

用於發現病毒，

一個殺毒軟體的殺毒效果好壞就直接取決於它的

掃描器編譯技術與演算法是否先進，

而且殺毒軟體不同的功能往往對應著不同的掃描器，

也就

是說，

大多數殺毒軟體都是由多個掃描器組成的。

而病毒庫存儲的特徵碼形式則取決於掃描

器採用哪種掃描技術。

它裡面存儲著很多病毒所具有的獨一無二的特徵字元，

我們稱之為

「特

征碼」

。特徵碼總的分來只有兩個，文件特徵碼與內存特徵碼。文件特徵碼存在於一些未執

行的文件里，例如

EXE

文件、

RMVB

文件、

jpg

文件甚至是

txt

文件中都有可能存在文件特

征碼，

也都有可能被查殺。

而內存特徵碼僅僅存在於內存中已運行的應用程序。

而虛擬機則

是最近引進的概念，它可以使病毒在一個由殺毒軟體構建的虛擬環境中執行，與現實的

CPU

、硬碟等完全隔離，從而可以更加深入的檢測文件的安全性。

二、基於文件掃描的殺毒技術

基於文件的殺毒技術可以分為「第一代掃描技術」

、

「第二代掃描技術」與「演算法掃描」這三

種方法，

對於免殺愛好者來說，

要對每一種方法爛熟於心，

才能成為高手！

但做為一個初學

者來說了解一下即可。

這里我們就簡單介紹一下其中兩種種方法，

詳細的技術原理如果各位

得這有興趣的話可以自己研究。

1

、通配符掃描技術

通配符掃描技術屬於是第一代掃描技術的一個分支，對於「通配符」

，可以理解為具有

一定意義的符號，

例如

DOS

命令里的

*

號就是任意長度的任意字元的意思，

而且通配符在不

同的領域也里可以代表不同的意思。

現在殺毒軟體中簡單的掃描器常常支持通配符，

因為鑒於字元串掃描技術的執行速度與特徵

碼長度限制等問題，

使得其逐漸退出歷史舞台，

取而代之的是通配符掃描技術，

通配符掃描

技術以同樣簡單的原理與技術卻實現了更為強大的功能。

掃描器中的通配符一般用於跳過某些位元組或位元組范圍，

以至於現在有些掃描器還支持正則表

達式！